隐私合规审查中加固SDK的风险点，哪些数据收集会导致下架

“App被下架了？用了哪家加固？”这是我最近收到最多的一条消息。

去年我们团队上架一款工具类App，加固后顺利通过内部测试，却在Google Play预审时被驳回，原因是加固SDK在用户同意隐私政策前读取了Mac地址和Android ID。更麻烦的是，这个SDK的数据上报行为在隐私政策中完全没有披露。

事后复盘发现，加固工具本身不是问题，但加固SDK的数据收集行为正在成为隐私合规审查的新盲区。本文逆向分析5款主流加固SDK的数据上报行为，对照GDPR、《个人信息保护法》及应用商店政策，给出最小化配置方案。

一、加固SDK都在收集什么数据？——5款主流工具行为分析

1. 360加固SDK——数据收集最密集

根据公开的隐私政策及SDK清单，360加固SDK收集的信息类型包括：

设备基础信息：机型、品牌、系统版本、分辨率、内存、网络类型、操作系统语言环境

终端环境信息：Android ID、OAID、root状态、xposed框架、双开环境、frida检测、模拟器环境

网络信息：DNS服务器IP、是否开启VPN

加固包信息：包名、版本、签名文件MD5

崩溃日志：安全补丁级别、运行崩溃信息

关键风险点：

• Android ID和OAID属于设备标识符，在《个保法》框架下属于个人信息
• 旧版本360加固工具被工信部点名指出：在用户未同意隐私政策前获取设备Mac地址，导致多个嵌入该工具的App被通报或下架
• 数据分析服务还会收集应用安装列表、活跃应用列表，这接近“用户画像”范畴

2. 网易易盾加固——合规披露要求明确

易盾官方文档明确要求：使用加固后，App相当于接入了第三方SDK，必须在隐私政策的第三方SDK清单中增加对易盾的说明。

易盾加固涉及的数据收集行为包括：

• 防二次打包校验（签名验证）
• 主动防御机制（检测调试、注入、HOOK行为时触发退出）
• 崩溃日志上报

关键风险点：易盾自身不强制收集设备标识符，但主动防御功能会在检测到风险行为时记录环境信息。如果隐私政策未披露，测评机构会判定为“违规收集”。

3. 阿里云移动安全加固——架构限制隐含风险

阿里云加固在使用说明中明确：不支持x86、mips架构，minSdkVersion推荐23以下。

数据收集风险相对较低，主要问题在于：

• 加固后的AAB/APK需要适配Google Play的App Signing功能，否则会冲突
• 对ARouter等路由框架需要额外配置，否则加固后初始化失败

关键风险点：功能冲突导致的数据处理异常，间接引发合规问题。

4. 腾讯乐固/梆梆/爱加密（根据公开信息推断）

虽然没有完整的隐私披露文档，根据行业惯例和此前工信部通报，这类加固SDK的数据收集集中在：

• 设备指纹（用于盗版监测）
• 崩溃日志
• 运行环境检测（root/模拟器/HOOK）

关键风险点：腾讯SDK曾被反映在用户点击阅读隐私政策时读取设备Mac地址，属于典型的“隐私政策同意前收集”。

5. 百度应用加固SDK——合规要求最规范

百度SDK开发者合规指南提供了较完整的隐私披露模板：

要求App开发者在首次启动时必须先展示隐私政策并获用户同意，才能初始化SDK。收集的信息包括WIFI状态、设备型号、IP地址，用于检测网络质量和SDK通信质量。

关键风险点：IP地址在GDPR下属于个人数据，需要明确告知使用目的。

二、哪些数据收集行为会导致下架？——三大红线

红线一：隐私政策同意前收集

这是最高频的下架原因。

工信部在2020年通报中指出：旧版本360加固工具在用户未同意隐私政策前获取设备Mac地址，导致多个App被下架。Google Play在2022年也下架了数十款使用违规收集SDK的App，这些SDK能够秘密收集剪贴板内容、电话号码、电子邮件地址。

合规要求：

• SDK必须在用户同意隐私政策后才能初始化
• 如果SDK在App启动时自动初始化（常见于ContentProvider或Application的onCreate），属于违规
• 解决方案：延迟初始化，或使用懒加载机制

红线二：数据收集超出“最小必要”原则

即使隐私政策披露了SDK收集的信息，如果收集范围超出“实现功能所必需”，同样违规。

以360加固SDK为例，收集应用安装列表、活跃应用列表是否必要？对于盗版检测和运营分析，包名和签名MD5已经够用，安装列表属于过度收集。

GDPR第25条“Privacy by Design”要求：从设计阶段就整合数据保护，特别是数据最小化。

合规要求：

• 只在SDK配置中关闭非核心的数据上报（如分析服务）
• 要求加固厂商提供“隐私增强版”，不收集非必要信息

红线三：隐私政策未披露SDK数据收集行为

这是最容易踩坑的低级错误。

易盾官方文档明确指出：使用加固后，App相当于接入了第三方SDK，必须在隐私政策的第三方SDK清单中增加对易盾应用加固的说明。

很多App只在隐私政策中列了极光、友盟、个推，却漏掉了加固SDK。审核机构用自动化工具扫描时，发现加固SDK在收集数据但政策未提及，直接判定为“欺骗行为”。

合规要求：

• 隐私政策中单独列出“第三方SDK”表格
• 每个SDK需说明：名称、主体、收集信息类型、使用目的、隐私政策链接
• 示例格式：

三、最小化配置方案——实操指南

Step 1：加固前审查SDK的数据收集清单

向加固厂商索要：

• SDK隐私政策（正式公开版）
• 数据收集清单（收集字段、触发时机、上报频次）
• 数据处理协议（明确双方在GDPR/个保法下的角色）

如果厂商无法提供上述文档，建议更换。

Step 2：配置SDK关闭非必要收集

以360加固SDK为例，在集成时关闭：

• 数据分析服务（涉及安装列表收集）
• 运营数据统计（可关闭）
• 崩溃日志上报（建议保留，但要披露）

配置方式通常是在AndroidManifest.xml中添加meta-data，或调用SDK提供的配置接口。

Step 3：延迟SDK初始化

绝对不要在Application的onCreate或ContentProvider中自动初始化加固SDK。

正确做法：

1. App首次启动，展示隐私政策弹窗
2. 用户点击“同意”后，再调用initSDK()方法
3. 使用isAgreed标志位判断，避免重复初始化

技术实现需要确保：在SDK初始化前，任何加固功能（如防二次打包）都不能收集信息。如果SDK不支持这种模式，考虑更换厂商。

Step 4：隐私政策完整披露

在隐私政策的“第三方SDK”章节，逐个列出加固SDK的信息。

模板（以360为例）：

360加固SDK

主体：北京鸿享技术服务有限公司

使用目的：App安全加固、盗版检测、终端环境风险识别

收集信息类型：设备基础信息（机型、系统版本）、Android ID、OAID、包名及签名、运行环境（root/模拟器/HOOK状态）

隐私政策：https://jiagu.360.cn/#/global/help/322

Step 5：上架前用合规工具验证

使用以下工具扫描加固后的APK/AAB：

• MobSF（开源）：检测敏感权限、数据收集行为
• AppScan（商业）：隐私合规专项检测
• 各厂商提供的隐私检测功能（如易盾的过检策略）

特别检查：在未同意隐私政策时，是否有网络请求发送到SDK服务器。

四、Google Play专项注意事项

问题1：Google Play App Signing与加固冲突

Google Play默认开启“自动完整性保护”，这与加固的防二次打包功能冲突。

解决方案：在Google Play Console中关闭“自动完整性保护”（设置 > 应用完整性）。

问题2：海外市场的GDPR合规

GDPR对SDK的要求更为严格：

• 告知义务：用户必须能区分哪些权限是App运行必需的，哪些是SDK功能必需的
• 同意管理：需要提供细粒度的同意选项（如同意加固功能但不同意崩溃日志上报）
• 数据处理协议：App发行商与SDK提供商之间必须有DPA（数据处理协议）

问题3：历史遗留的违规SDK版本

工信部曾点名通报：多个App因使用旧版本360加固工具（在用户同意前读取Mac地址）被下架。

行动：检查项目中集成的加固SDK版本，确保是最新版。如果使用旧版，升级后重新测试。

五、总结与建议

加固SDK的数据收集风险正在成为隐私合规审查的新焦点。根据优先级：

立即处理（否则下架风险高）：

1. 延迟SDK初始化，确保用户同意隐私政策后才收集数据
2. 隐私政策中完整披露所有加固SDK
3. 升级旧版本SDK（特别是360加固，旧版被工信部点名）

计划内优化（降低合规审计风险）：

1. 关闭SDK的非必要数据收集（如安装列表、运营分析）
2. 与加固厂商签署数据处理协议
3. 建立SDK准入机制，引入前审核隐私合规

长期建设：

1. 推动加固厂商提供“隐私增强版”SDK
2. 使用合规检测工具自动化验证
3. 关注Google Play和中国应用商店的政策更新

“加固不能成为合规的后门——代码安全的前提，是数据收集的透明。”